受信任的根证书神奇地安装到Windows

时间:2012-08-25 13:56:01

标签: x509 digital-certificate

在某些站点上,证书链无法构建到受信任的根证书,因为Windows不知道此受信任的根证书。但是,如果我们使用IE或Chrome访问此类网站,Windows会自动下载(验证)受信任的根目录并静默安装到可信证书颁发机构存储。在此之后,我们可以构建直到新安装的根的证书链。如果我们从Windows存储中手动删除新下载的受信任根证书,则无法再次构建链。

我了解授权信息访问扩展。问题是链中最顶层的可用证书(缺少受信任根的子项)没有包含此类扩展。即使它有,Windows也不会自动信任下载的证书。

因此必须有一些关于可信根的其他知识来源。问题是 - 我们如何自己使用该来源。如果有人有兴趣检查它,则可以使用最顶层的可用证书here

2 个答案:

答案 0 :(得分:2)

此链接http://support.microsoft.com/kb/931125说明了Windows如何在Vista和7中静默更新根证书。

答案 1 :(得分:0)

证书包含名为“Authority Information Access”的扩展,其中包含颁发CA的详细信息。用于“https://gooogle.com”的证书示例如下所示。浏览器读取此值,从提供的URL下载证书,并在证书链中重复该过程。

google.com AIA Extension